Audit des contrôles applicatifs - Chapters Site
Audit des
contrôles
applicatifs
GUIDE PRATIQUE D’AUDIT DES TECHNOLOGIES DE L’INFORMATION
Guide pratique d’audit des technologies de l’information
(GTAG) 8:
Audit des contrôles applicatifs
Auteurs
Christine Bellino, Jefferson Wells
Steve Hunt, Enterprise Controls Consulting LP
Juillet 2007
Copyright © 2007 par l’Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, États-Unis.
Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de consultation ou
transmise sous quelque forme que ce soit, ni par aucun moyen (électronique, mécanique, reprographie, enregistrement ou autre), sans
autorisation préalable de l’éditeur.
L’IIA publie ce document à titre informatif et pédagogique. Cette publication entend donner des informations, mais ne se
substitue en aucun cas à un conseil juridique ou comptable. L’IIA ne fournit pas ce type de service et ne garantit, par la publication
de ce document, aucuns résultats juridiques ou comptables. En cas de problèmes juridiques ou comptables, il convient de recourir à
l’assistance de professionnels.
1. Résumé ................................................................................................................................................................................... 1
2. Introduction ............................................................................................................................................................................ 2
Définition des contrôles applicatifs ................................................................................................................................ 2
Contrôles applicatifs et contrôles généraux informatiques ............................................................................................. 2
Environnements TI complexes et non complexes .......................................................................................................... 3
Avantages des contrôles applicatifs ................................................................................................................................ 3
Rôle des auditeurs internes ............................................................................................................................................ 5
3. Évaluation des risques ............................................................................................................................................................. 7
Évaluer les risques .......................................................................................................................................................... 7
Contrôle des applications : approche de l’évaluation des risques ................................................................................... 8
4. Étendue des revues au titre des contrôles applicatifs ............................................................................................................. 9
Méthode du processus d’entreprise ................................................................................................................................ 9
Méthode de l’application unique .................................................................................................................................... 9
Contrôles d’accès ............................................................................................................................................................ 9
5. Approches de la revue des contrôles applicatifs et autres considerations ............................................................................. 10
Planification .................................................................................................................................................................. 10
Besoin de ressources d’audit spécialisées ..................................................................................................................... 10
Méthode du processus d’entreprise .............................................................................................................................. 10
Techniques de documentation ..................................................................................................................................... 12
Tests.............................................................................................................................................................................. 13
Techniques d’audit assistées par ordinateur ................................................................................................................. 13
6. Annexes ................................................................................................................................................................................. 18
Annexe A: Contrôles applicatifs courants et propositions de tests ............................................................................... 18
Annexe B: Exemple de plan d’audit ....................................................................................................................... ...... 21
7. Glossaire ................................................................................................................................................................................ 26
8. Bibliographie ......................................................................................................................................................................... 27
9. Les auteurs ............................................................................................................................................................................ 28
GTAG – Table des matières
1
Ces dernières années, les organisations du monde entier
ont dépensé des milliards pour moderniser leurs systèmes
d’applications ou en installer de nouveaux, et ce pour différentes
raisons : objectifs tactiques (mise en conformité « an 2000 »,
par exemple) ou activités stratégiques (utilisation de la
technologie comme facteur de différenciation de l’entreprise
sur le marché). Une application ou un système d’applications
est un logiciel qui permet d’exécuter des tâches en recourant
directement aux capacités de l’ordinateur. Selon le GTAG 4
publié par l’IIA ( The Institute of Internal Auditors ), ces
systèmes peuvent se classer en deux catégories : applications
transactionnelles et applications de support.
Les applications transactionnelles traitent les données à
l’échelle de l’organisation :
•Ellesenregistrentlavaleurdestransactionsde
l’entreprise en termes de débits et de crédits.
•Ellesserventàarchiverlesdonnéesfinancières,
opérationnelles et réglementaires.
•Ellespermettentdiversesformesdecommunication
financière et managériale, notamment le traitement
des commandes, des factures clients, des factures
fournisseurs et des écritures de journaux.
SAP R/3, PeopleSoft et Oracle Financials, qu’on qualifie
souvent de progiciels de gestion intégrés (ERP – enterprise
resource planning), ainsi que d’innombrables logiciels non-ERP,
sont des exemples de systèmes de traitement des transactions.
Ils fonctionnent sur la base d’une logique programmée et, dans
de nombreux cas, en complément des tables configurables qui
stockent les règles uniques de l’organisation pour l’exploitation
et le traitement.
Les applications de support sont, quant à elles, des logiciels
spécialisés qui facilitent les activités de l’organisation :
programmes de messagerie électronique, logiciels de télécopie,
d’imagerie documentaire et de conception. Cependant, ces
applications ne gèrent généralement pas les transactions.1
Tout comme n’importe quelle technologie supportant les
processus d’entreprise, les applications transactionnelles et
de support peuvent engendrer des risques pour l’organisation.
Ceux-ci proviennent de la nature même de la technologie et
des équipements, de la gestion et de l’utilisation du système.
Avec les systèmes de traitement transactionnel, les risques qui
ne font pas l’objet de mesures de correction appropriées peuvent
compromettre l’intégrité, l’exhaustivité, la rapidité d’exécution
et la disponibilité des données financières ou opérationnelles.
De plus, quelle que soit l’application utilisée, les processus eux-
mêmes présentent un risque inhérent. C’est pourquoi nombre
d’organisations associent des contrôles automatisés et manuels
pour gérer ces risques dans les applications transactionnelles et
de support. L’efficacité de la gestion du risque dépend toutefois
directement des éléments suivants :
•L’appétencepourlerisqueoulatoléranceaurisquede
l’organisation.
•Larigueurdel’évaluationdurisqueliéàl’application.
•Lesprocessusconcernés.
•L’efficacitédescontrôlesgénérauxinformatiques
(CGTI).
•Laconceptionetl’étendueactuelledel’efficacité
opérationnelle des activités de contrôle.
L’une des approches les plus efficientes et présentant le
meilleur rapport coût-efficacité utilisées par les organisations
pour gérer ces risques consiste à recourir à des contrôles
intrinsèques ou intégrés (par exemple, une triple concordance
des factures fournisseurs) dans les applications transactionnelles
ou de support ainsi qu’à des contrôles configurables (par
exemple, les tolérances relatives aux factures fournisseurs).
Ces contrôles, généralement qualifiés de contrôles applicatifs,
concernent l’étendue des différents processus ou systèmes
d’applications, dont l’édition des données, la séparation des
fonctions, la balance des totaux de contrôle, la journalisation
des transactions et les rapports d’erreurs.2
Les responsables de l’audit interne et leurs équipes doivent
par ailleurs impérativement comprendre la différence entre les
contrôles applicatifs et les contrôles généraux informatiques
(CGTI). Ces derniers s’appliquent à l’ensemble des composants,
processus et données des systèmes de l’organisation,3
tandis que les contrôles applicatifs sont spécifiques à un
programme ou à un ensemble de programmes (système) qui
soutient un processus d’entreprise donné. La section de ce
chapitre consacrée aux contrôles applicatifs et aux contrôles
généraux informatiques reviendra plus en détail sur ces deux
types de contrôles.
En raison de l’importance des contrôles applicatifs pour les
stratégies de gestion des risques, les responsables de l’audit interne
et leurs équipes doivent élaborer et réaliser périodiquement des
audits de ces contrôles afin de vérifier qu’ils sont bien conçus
et fonctionnent correctement. Le présent guide a donc pour
objectif de donner aux responsables de l’audit interne des
informations sur les aspects suivants :
1. Définition et avantages des contrôles applicatifs.
2. Rôle des auditeurs internes.
3. Exécution d’une évaluation des risques.
4. Délimitation de l’étendue de la revue des contrôles
applicatifs.
5. Approches de la revue des applications et autres
considérations.
Nous présentons en outre dans ce guide une liste des
contrôles applicatifs courants et un exemple de plan d’audit.
GTAG – Résumé – 1
1 GTAG 4 : Management de l’audit des systèmes d’information, p. 5.
2 GTAG 1 : Les contrôles des technologies de l’information, p. 3.
3 GTAG 1 : Les contrôles des technologies de l’information, p. 3.
2
Définition des contrôles applicatifs
Les contrôles applicatifs portent sur l’étendue des différents
systèmes d’applications ou processus d’entreprise, dont les
éditions de données, la séparation des fonctions, la balance
des totaux de contrôle, la journalisation des transactions et les
rapports d’erreurs. Leur objectif est de veiller à ce que :
•Lesdonnéesd’entréesoientexactes,complètes,
autorisées et correctes.
•Lesdonnéessoienttraitéesconformémentaux
objectifs et dans un délai acceptable.
•Lesdonnéesstockéessoientexactesetcomplètes.
•Lesdonnéesdesortiesoientexactesetcomplètes.
•Unenregistrementduprocessussoitconservé;il
permet de suivre la progression des données depuis leur
entrée jusqu’à leur stockage et à leur sortie éventuelle.4
Plusieurs types de contrôles applicatifs existent :
•Les contrôles des données en entrée – Ces contrôles
servent principalement à vérifier l’intégrité des données
entrées dans une application, que les données aient été
entrées directement par le personnel de
l’entreprise, à distance par un partenaire commercial ou
via une application ou interface Web. La vérification
de la saisie des données intègre la vérification que les
limites spécifiées ne sont pas dépassées.
•Les contrôles sur le traitement – Ces contrôles
constituent un moyen automatisé de faire en sorte que
le traitement soit complet, exact et autorisé.
•Les contrôles des données en sortie – Ces contrôles
portent sur ce qu’il advient des données et doivent
rapprocher les résultats en sortie avec le résultat
escompté, en confrontant les données de sortie aux
données entrées.
•Les contrôles d’intégrité – Ces contrôles surveillent
les données en cours de traitement et les données
stockées afin de veiller à ce qu’elles restent cohérentes
et correctes.
•La piste de contrôle de gestion – La trace des
opérations réalisées, souvent appelée piste d’audit,
permet à l’encadrement d’identifier les transactions et
les événements enregistrés en suivant les transactions
depuis leur entrée jusqu’à leur sortie et en sens inverse.
Ces contrôles permettent également de vérifier
l’efficacité des autres contrôles et de repérer les erreurs
au plus près possible de leur source.5
Les contrôles applicatifs se répartissent en contrôles préventifs
et contrôles de détection. Même si ces deux catégories se
retrouvent dans une même application reposant sur une
logique programmée ou configurable, les contrôles préventifs
préviennent, comme leur nom l’indique, la survenue d’une
erreur au sein d’une application. C’est par exemple le rôle d’une
routine de validation des données en entrée, qui vérifie que les
données entrées sont cohérentes avec la logique du programme
qui leur est associé et n’autorise la sauvegarde que des données
correctes. Les données incorrectes ou invalides sont quant à
elles rejetées au moment de la saisie.
Les contrôles de détection détectent, comme leur nom
l’indique également, les erreurs sur la base d’une logique
de programme prédéfinie. Ainsi, un contrôle de détection
peut mettre au jour un écart favorable ou défavorable entre
le prix figurant sur la facture du fournisseur et celui du bon
de commande.
Les contrôles applicatifs, en particulier ceux de détection,
servent également à faciliter les contrôles manuels. Les données
ou les résultats d’un contrôle de détection peuvent permettre
d’alimenter un contrôle de surveillance. Ainsi, le contrôle
de détection décrit au paragraphe précédent peut mettre en
évidence toute variation du prix d’achat grâce à un programme
qui énumère ces exceptions dans un rapport. L’examen par la
direction de ces exceptions peut alors être considéré comme un
contrôle de surveillance.
Contrôles applicatifs et contrôles généraux
informatiques
Il est important que les responsables de l’audit interne et leurs
équipes comprennent les relations et les différences entre les
contrôles applicatifs et les contrôles généraux informatiques
(CGTI). À défaut, la revue des contrôles applicatifs risque de
ne pas être correctement délimitée, ce qui aura une incidence
sur la qualité et l’étendue de l’audit.
Les contrôles généraux informatiques s’appliquent à tous
les composants, processus et données des systèmes d’une
organisation, ou d’un environnement de systèmes.6 Ils ont
pour objectif de veiller au développement et à la mise en
œuvre appropriés des applications, à l’intégrité des fichiers
de programmes et de données, ainsi que des opérations
informatiques.7 Les CGTI les plus courants sont les suivants :
•Contrôlesd’accèslogiqueàl’infrastructure,aux
applications et aux données.
•Contrôlesducyclededéveloppementdessystème
d’applications informatisées.
•Contrôlessurlagestiondeschangementsdansles
programmes.
•Contrôlesdesécuritéphysiquesurlecentrede
traitement informatique.
•Contrôlesdesauvegardeetderestaurationdes
systèmes et des données.
•Contrôlesdel’exploitation.
GTAG – Introduction – 2
4, 5 GTAG 1: Les contrôles des technologies de l’information, p. 8.
6 GTAG 1: Les contrôles des technologies de l’information, p. 3
7 ISACA, IS Auditing Guideline – Application Systems Review, Document G14, p. 3.
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
1
/
32
100%
